Vortrag

Die Regulierung von Datenintermediären: Der Entwurf des Data Governance Act

Vortrag von Moritz Hennemann bei der Verbraucherzentrale NRW. Voranmeldung erforderlich

20. Januar 2022 | 13:00 - 15:00
Organisator: Verbraucherzentrale Nordrhein-Westfalen e. V.
Veranstaltungsort: Online-Veranstaltung

Vortragender: Professor Dr. Moritz Hennemann (Universität Passau)
Vortrag 13: Die Regulierung von Datenintermediären: Der Entwurf des Data Governance Act

Der Data Governance Act ist Teil der umfassenden Regulierungsbestrebungen der Europäischen Union in Bezug auf den Umgang mit und die Nutzung von Daten. Als Ausfluss Ihrer Datenstrategie hat die Europäische Union verschiedene Vorschläge vorgelegt (Digital Markets Act, Digital Services Act, Data Governance Act). Weitere Vorschläge sind angekündigt. Der Vorschlag des Data Governance Act umfasst Regelungen zu Daten öffentlicher Einrichtungen, zu Datenintermediären und zum Datenaltruismus. Im Vortrag soll der Data Governance Act vor dem Hintergrund der geltenden Rechtsordnung eingeordnet werden und im Schwerpunkt die Regelungen zu Datenintermediären (oder auch Datenmittlern) vorgestellt und diskutiert werden. Abschließend werden die vorgeschlagenen Neuregelungen mit Blick auf die globalen Entwicklungen im Datenrecht bewertet.

Obwohl der Entwurf eines Data Governance Acts (DGA) explizit Datentreuhandmodelle vorsieht, bleibt – gerade nach den vielen kritischen Stimmen in dieser Vortragsreihe (etwa von Schneider und Pohle) – fraglich, ob Datenintermediäre überhaupt als Lösung für die Konflikte zwischen Datenschutz- und Datenverwertungsinteressen dienen sollten. Befriedigende Antworten auf die folgenden beiden dringlichen Fragen stehen weiterhin aus: Wie kann die informationelle Selbstbestimmung und Datensouveränität derjenigen, die Daten zur Verfügung stellen, gewahrt werden? Welche Regulierung ist notwendig, um informationelle Selbstbestimmung zwischen einer kommerziellen und einer am Gemeinwohl orientierten Nutzung zu sichern? Das Problem datenschutzrechtlicher Grauzonen ist für eine Regulierung der Datenökonomie insofern von zentraler Bedeutung, als ein erheblicher Angriff auf Grundrechte zu beobachten ist (Stichworte: Diskriminierung durch Algorithmen, Machtasymmetrie durch Plattformgiganten etc.). Deshalb sind zusätzliche regulatorische Vorgaben zum geltenden Recht überfällig. Doch leider bleibt der Datenschutz auch nach Einführung der DSGVO noch zahnlos – und das obwohl sich nicht nur aus diesem Gesetz, sondern auch dem kürzlich veröffentlichten Verordnungsentwurf zur Regulierung der Künstlichen Intelligenz der EU-Kommission Anknüpfungspunkte für ein „Recht auf Erklärung“ bezüglich der investierten (Software-)Verfahren („Algorithmen“) entnehmen lässt. Als andere Seite von „Big Data“ enthalten die neuartigen (Software-)Verfahren, also „Algorithmen“ und „Künstliche Intelligenz“ (KI), diejenigen Regelsysteme, die entscheidend dafür sein können, welche Schlussfolgerungen aus Datenverarbeitungen gezogen und welche Bewertungen und Entscheidungen über Personen getroffen werden. Sie dienen dementsprechend nicht mehr allein der Automatisierung der Datenverarbeitung sowie der Informations- und Wissensgenerierung, sondern sind zunehmend auch Kernelemente von Systemen der automatisierten Entscheidungsunterstützung oder -durchführung.

Mittlerweile finden sich jedoch zahlreiche Anhaltspunkte, dass existierende oder künftige Anwendungen von KI und automatisierten Entscheidungssystemen (AES) Risiken und konkrete Beeinträchtigungen von Menschen- und Verfassungsrechten und weiteren gesellschaftlichen Grundwerten wie Demokratie und Rechtsstaatlichkeit haben. Zum (auch präventiven) Schutz der Grundrechte und -werte sind zahlreiche Vorschläge zur Regulierung von KI und AES unterbreitet worden, wobei risiko-basierte Ansätze überwiegen – etwa im Weißbuch Europäische Kommission (2020), ebenso AI HLEG (2019), Datenethikkommission (2019) oder Council of Europe (2020). Dabei stellt die risiko-basierte Regulierung nur eine von vielen Formen der Risikoregulierung dar, mit der Ressourcen der Regulierungsbehörde geschont werden sollen, indem sie sich auf diejenigen Regulierungsobjekte fokussiert, denen ein hohes Risiko zugeschrieben wird. Hierbei drängt sich die Frage auf, ob der risiko-basierte Ansatz die betroffenen Schutzgüter erfassen kann und welche normativen Entscheidungen über gefährdete Grundrechte und akzeptable Risiken an welcher Stelle getroffen werden (sollten).

Im Vortrag werden die Herausforderungen für eine Risikoregulierung von KI und AES dargestellt, die sich vor allem in der normativen Ambiguität bei der Risikobestimmung und -bewertung zeigt. Sie erfordert umfangreiche politische Prozesse, bevor eine Risikoregulierung eingerichtet und betrieben werden kann. Des Weiteren werden einzelne Vorschläge zum Ausbau der Risikoregulierung unterbreitet, um der Gefahr des Regulierungsversagens zu entgehen. So scheint es – auch und vor allem zur Stärkung des Datenschutzes – notwendig zu sein, neben dem Element der risiko-basierten Regulierung auch allgemein verbindliche Anforderungen bzw. Prinzipien (etwa das Vorsorgeprinzip) zu entwickeln und anzuwenden, die für KI- und AES-Anwendungen gelten sollten.

Zur Veranstaltungswebseite und Anmeldung (Link)

Dieser Artikel wurde erstellt am .